Compliance cyber : de nouvelles technologies s’imposent
![Image Microsoft dévoile son programme d’amélioration de sa [cybersécurité interne]](https://incyber.org//wp-content/uploads/2024/05/incyber-news-cybersecurite-cybersecurity-technology-technologie-2024-885x690.jpg)
![Image Neverhack rachète [Cybers,] une société de cybersécurité estonienne](https://incyber.org//wp-content/uploads/2024/02/incyber-news-cybersecurite-cybersecurity-rachat-fusion-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
Les entreprises doivent apprivoiser les RegTech, Legal Tech et SupTech. Objectif : optimiser leur mise en conformité et mitiger les risques liés à leurs activités avec des outils numériques.
En matière de cybersécurité, la compliance émerge avec l’entrée en vigueur des premières régulations dans les années 2000. Les travaux réglementaires s’accélèrent à la suite de cyberattaques majeures, à partir des années 2010. Ces années ont connu des innovations technologiques rapides mais qui ont donné lieu à des failles de sécurité majeures.
Tel a été le cas lors de la cyberattaque menée contre Sony en 2011, où des pirates informatiques s’étaient introduits sur les serveurs de PSN (PlayStation Network). Ils ont réussi à voler des données et à rendre inutilisable le service pour les joueurs. La réaction des régulateurs européens face au risque croissant de cyberattaques a été forte. Elle s’est traduite par la promulgation du RGPD et de la directive NIS, en 2016.
Le besoin en matière de compliance « cyber » s’est imposé avec l’adoption massive d’outils numériques par les entreprises, dans le contexte de la pandémie de covid-19. Désormais, la cybersécurité devient un enjeu clé dans le cadre de la gestion des risques car les entreprises ont entamé des processus de transformation numérique de leurs activités.
Évolution des outils généraux
La compliance ne concerne plus uniquement les domaines bancaire et financier. Elle a aussi pour trait aux questions liées à la conformité propre à des domaines divers (pharmaceutique, d’hygiène, protection des données, problématiques cyber etc.). Elle repose sur l’utilisation des RegTech, LegalTech et SupTech. Ces nouvelles technologies visent à optimiser la compliance des entreprises, le management des documents et les procédures juridiques. Mais aussi l’automatisation des contrôles par les autorités de supervision.
Issu de la contraction des termes de regulatory (réglementation) et technnology, la RegTech désigne la fourniture de services technologiques pour améliorer leur compliance. La LegalTech désigne, quant à elle, la fourniture de services technologiques à destination des professionnels du droit permettant d’optimiser, d’organiser et de gérer des supports et procédures juridiques.
Les entreprises privées ne sont d’ailleurs pas les seules à s’intéresser à ces nouveaux outils. En effet, des entités publiques – comme la Banque de France et l’Autorité de contrôle prudentiel de résolution (ACPR) avec le programme « SupTech » lancé en 2019 – étudient ou ont recours à des SupTech. Contraction de supervisory et technology, il s’agit d’une technologie permettant d’améliorer la surveillance et le reporting lié à la conformité dans un domaine d’activité.
Évolution vers des applications concrètes
En matière de sécurité numérique, la compliance émane des réglementations sur la mise en place de processus d’anticipation en faveur du bon traitement des données et de la sécurité des systèmes informatiques. De l’organisation interne à la mise en place de procédures d’urgence, la réglementation concerne à la fois les individus utilisant la technologie et la résilience intrinsèque du système informatique, indépendamment de toute intervention humaine. Désormais, la compliance repose sur des innovations ouvrant de nouvelles perspectives en matière de mise en conformité.
Le champ des possibles ouvert par les RegTechs cible deux secteurs : la sécurité de l’information et la cybersécurité. Dans les deux cas, il faut savoir si les standards de protection des données sont respectés mais aussi savoir si des processus de sécurisation du cyberespace ont été mis en œuvre pour se protéger contre les cyber-risques.
La LegalTech, quant à elle, permet d’optimiser et d’automatiser les documents et/ou processus juridiques en entreprise. Il s’agit du complément général de la RegTech visant la partie juridique liée à la compliance. Une LegalTech axée sur la conformité pourrait fournir plusieurs services : automatisation des processus juridiques, gestion électronique de documents pour assurer la conformité réglementaire, création de politiques juridiques automatisées, veille légale, gestion des contrats et formation en ligne sur la conformité.
La SupTech propose un renouveau dans la communication et la transparence envers les organes de contrôle. Principalement axée sur la supervision des marchés financiers, elle pourrait proposer bientôt plusieurs services dans le domaine cyber : analyse automatisée des traitements de données, surveillance en temps réel des activités numériques, détection de comportements suspects, conformité aux règles de marché, génération de rapports réglementaires automatisés, et mise en œuvre de technologies avancées comme l’intelligence artificielle